Hi, ich überlege gerade für ein Experiment ein Manageable Switch zu kaufen, in der Hoffnung dass ich dies über SNMP so konfigurieren kann, dass er immer nur einen Rechner zu einem Zielrechner durchlässt. Also es gibt einen Server und zwei Clients. Von außen kommt ein SNMP Kommando an das Switch und der schaltet es so, dass nur noch Client1 mit dem Server sprechen kann, Client2 ist nicht mehr erreichbar. Dann wird umgeschaltet und nur Client2 kann mit dem Server reden... Client1 hat keine Chance mehr durchzukommen.

Wichtig dabei ist, dass nie Client1 und Client2 gleichzeitig den Server erreichen können. Das für einen "sehr kurzen Moment" möglicherweise keiner den Server erreicht wäre auch okay. Kann man das mit SNMP erreichen und was muss das Switch für einen SNMP MIB Teil implementieren?

Gleichzeitig überlege ich, ob dies auch nur mittels VLAN Tags möglich ist... also ich schalte nicht den Link tot, sondern ich maskiere VLANs zur Laufzeit aus. Also alle Clients können mit VLAN7 ungestört mit dem Server reden, aber zur Laufzeit wird VLAN8 mal nur von Client1, mal nur von Client2 durchgeschaltet... kennt sich jemand damit aus?

Beim kurzen googlen bin ich auf RFC 2674 (http://tools.ietf.org/html/rfc2674) gestoßen, aber wäre das ein Feature was ein Switch direkt unterstützen müsste oder wie finde ich ein Switch was das kann?

Wenn der Switch MAC ACLs unterstützt könnte man das theoretisch machen, auch mit mittels VLANS sollte das grundsätzlich gehen.

Allerdings wüsste ich nicht, das dies per SNMP geht. Habe da allerdings auch nicht so ganz viel Erfahrung.

Verstehe aber auch nicht so genau, was du damit bezwecken willst und wie du das syncronisieren willst das die nur Abwechselnd miteinander reden können?
Um was für Zeiträume geht es da?

Danke. Mir fehlt es bei Switches an Erfahrung... SNMP schien die logische Wahl zu sein.

Es geht generell um Sicherheit im Embedded/Automation Bereich. Eigentlich will ich einen diskreten Umschalter, aber prinzipiell soll in maximal ~10ms eine Schaltung von client1 nach client2 erfolgen können.

10ms? Das wirst du meiner Meinung nach nie hinbekommen, selbst wenn es per snmp geheb sollte.
Du konfigurierst ja praktisch jedesmal was am switch um, das dauert immer etwas bis es aktiviert ist, im sekunden bereich würde ich mal schätzen.

Was ich bisher nicht verstehe ist, was du damit eigentlich erreichen willst? Warun dürfen die clients nicht gleichzeitig auf den Server zugreifen?
Und was soll das mit QOS zu tun haben?

Mit SNMP kannst Du keinen Switch konfigurieren - nur Stats auslesen.
Der Switch kann mitunter bei gewissen Aktionen auch einen SNMP trap an einen Receiver deiner Wahl schicken, dort nimmst Du das passend entgegen, und führst dann eine Aktion aus. (z.b. telnet/ssh login auf Switch und command ausführen)

Mit QOS hat das ganze aber gar nix zu tun, wie von Panther schon erwähnt.

Du willst wohl sowieso eher sowas wie entweder Port-Security, MAC-Filter oder Access-List.
Mit letzteren beiden liesse sich relativ einfach einstellen, welche MAC Adresse mit dem Server der am Port X hängt, sprechen kann.
Gute Switches applizieren solche Sachen sofort, 10ms müssten daher also drin sein. (für den ganzen Job der u.A. vermutlich ein SSH/Telnet Login und das applizieren der entsprechenden Commands angeht)


Ich würds wohl mit zwei AccessLists lösen.

- eine bei der (Source) MAC-Adresse von ClientA geblockt wird
- eine bei der (Source) MAC-Adresse ClientB geblockt wird

Und je nachdem was gewünscht wird, bindet man AccessList 1 oder 2 auf den OUTBOUND Traffic des Server Ports oder löscht diese komplett. (damit alle/beide Zugriff haben)

@Birdman: das ist falsch.
jeder etwas professionellere Switch läßt sich per snmp nicht nur Abfragen, sondern auch konfigurieren (auch z.B. verschlüsselt über SNMPv3) welche SNMP-set Befehle man da machen muss ist aber vermutlich von Hersteller/bzw. von Gerät zu Gerät verschieden.

@Topic: nen Umschaltung im ms bereich halte ich auch eher für unrealistisch.. Du konfigurierst was, das muss dann von der switch cpu "verstanden" werden, dann müssen ACLs, fpgas, TCAMs, forwarding tables etc modifiziert werden. Dann müssen uU queues geleert werden vor allem nicht wenn Du das ganze vielleicht deterministisch machen willst.. nicht: ich schicke ab und irgendwann schaltet er dann schon schnell um..

Warum willst Du denn umschalten? Bzw warum dürfen nicht beide gleichzeitig am Netz hängen?

Einen Port in ein anderes VLAN zu hängen (oder eine ACL zu verpassen) ist eine Möglichkeit um die Erreichbarkeit eines Gerätes zu verhindern. Aber ob da deine zeitkritische Komponente Beachtung findet.. ka.. vermutlich ist ACL schneller als vlan (weil bei VLAN theoretisch (portfast..) auch noch die ganze Spanningtree Dinger durchlaufen könnten.

und QoS ist ne andere Baustelle: das sagt einfach nur "Transportiere Daten die ich als wichtiger erachte (oder die Du als wichtiger empfindest) zuerst" - macht man z.B. um sicherzustellen das Voice over IP funktioniert, obwohl grade ein Riesendownload läuft.

Es gibt für die SNMP Response Time keine verlässliche Festlegung, das kann zwischen 1ms und 1,5s alles sein, ist also für deine Anforderung eher ungeeignet.

Selbst wenn man es priorisiert, kann dir immer noch der Switch einen Strich durch die Rechnung machen.